iT邦幫忙

2023 iThome 鐵人賽

DAY 17
0
Security

資通安全管理法入門系列 第 17

[Day 17] 教育訓練

  • 分享至 

  • xImage
  •  

在公務機關,教育訓練的接受度很兩極。有些人避之唯恐不及,擔心一旦受訓就必須承擔更多責任,而有的人則熱衷於培訓,因為這意味著可以暫時脫離日常工作的壓力。這主要取決於機關的文化和風氣。

過去,在我所處的單位,由於預算充裕,許多人都參與了訓練。但這帶來了一個問題:一些員工在獲得證照後選擇離職,尋求更好的機會。這導致主管態度大轉,反對員工參加培訓,且新的資安業務仍然被推給承辦人處理。當業務承辦人遭遇不懂的問題而沒有受到應有的教育訓練,他們也選擇離開。最後,制定了"誰參訓,誰負責"的政策後,幾乎沒有人願意報名參與了。

從我的觀點來看,如果機關有充足的預算,我們可以鼓勵員工進行更多的培訓和教育。儘管有些人可能會選擇離開,但,不是每個人都會選擇這條路。在公務機關中,預算是必須執行的,而在預算充足的情況下,我們有機會做更多事情,而非只是及格拿到資安法規定的證照要求下限。

教育訓練是成功實施資訊安全策略的關鍵。如果有足夠的經費,建議非資訊人員也可以考取 ISO 27001 LA 證照,因為當前的資安法管理依賴這一標準。接受這樣的培訓,員工更能夠理解稽核人員的立場,提供稽核時需要的答案,而不是給出可能導致稽核缺失的答案。

教育訓練可以分成三種方式:
外面上課:資源有證照班、資安專業職能班、各機關舉辦的課程...是合資安專職人員、資訊人員、有資源+意願的資安窗口
線上課程:e等公務員、台北e大...適合一般人員獲取時數(資安法規定每人至少3小時)
包班上課:請外聘講師、開標證照班機關一起上課...適合經費充足讓全機關的人一起上

公務機關的資安專職人員確實短缺,許多單位都在招募,而其薪資也相對較高。從長遠看,這些訓練和經驗將成為他們職業生涯中的重要資本。因此,從個人發展的角度看,應該積極參與訓練。此外,為了確保業務的連續性,我們也應該鼓勵更多的員工參與訓練,即使他們最終選擇離開。

多辦幾場教育訓練絕對是一種多多益善的策略。


上一篇
[Day 16] 獎懲機制的策略與實踐
下一篇
[Day 18] 資源與3P
系列文
資通安全管理法入門31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言